Kdy se při podnikání musím registrovat na Úřad pro ochranu osobních údajů?

Každý podnikatel, ať už fyzická nebo právnická osoba, se při výkonu své činnosti setkává s osobními údaji různých fyzických osob a sám je ve větší či menší míře zpracovává.

advokátka, Vilímková Dudák & Partners
Foto: Fotolia

Za osobní údaje se považují jakékoli informace, které lze vztáhnout ke konkrétní osobě (subjekt údajů). Jsou to tedy jak tzv. identifikační a kontaktní údaje, tak i jakékoli další (popisné) údaje, které jsou k těmto údajům přiřazeny a vypovídají o subjektu údajů (např. údaj o barvě vlasů, zálibách, povolání či zaměstnání fyzické osoby).

Pokud má podnikatel byť jediného zaměstnance nebo klienta, tak musí počítat s tím, že se na něj vztahuje úprava týkající se ochrany osobních údajů a musí plnit určité povinnosti vyplývající z této úpravy.

V současné době je ochrana osobních údajů v České republice regulována především zákonem č. 101/2000 Sb., o ochraně osobních údajů (dále jen „ZOOÚ“), který vychází z příslušné směrnice EU[1]. Vedle tohoto zákona je však otázka ochrany nebo zpracování osobních údajů obsažena v řadě dalších zákonů. Např. každý zaměstnavatel musí dodržovat pravidla pro shromažďování osobních údajů budoucích nebo stávajících zaměstnanců stanovená zákonem č. 262/2006 Sb., zákoník práce, a dále je povinen vést řadu evidencí, které mu ukládají daňové předpisy a předpisy sociálního a zdravotního pojištění.

Právní úprava ochrany osobních údajů však v blízké budoucnosti dozná značných změn, neboť v květnu minulého roku vstoupilo v platnost nové nařízení EU[2] (dále jen „Nařízení“), které nahradí stávající směrnici. Od 25. května 2018 bude Nařízení přímo účinné ve všech státech Evropské unie a státech tvořící Evropský hospodářský prostor.[3] V České republice tímto dnem bude ZOOÚ z velké části nahrazen Nařízením.

Vzhledem k tomu, že povinnosti podnikatelů v oblasti komunikace s Úřadem se po účinnosti Nařízení dosti změní, věnuje se tento článek nejen současné úpravě, ale dotkne se i povinností podle Nařízení.

Oznamovací povinnost podle ZOOÚ

Každý podnikatel musí jako správce osobních údajů již před zahájením zpracování osobních údajů splnit některé povinnosti tak, aby od samotného počátku bylo zabráněno neoprávněnému nakládání a jinému zneužívání těchto údajů.

Jednou z povinností je oznamovací povinnost vůči Úřadu. Podle ZOOÚ ten, kdo hodlá zpracovávat osobní údaje jako správce, je povinen tuto skutečnost písemně oznámit Úřadu, a to před započetím zpracování osobních údajů. Stejnou povinnost má správce, když zamýšlí změnu registrovaného zpracování.

Oznamovací povinnost se týká pouze správce, takže každý podnikatel si musí v rámci své činnosti vyhodnotit, v jakém postavení se nachází.

Správcem je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Pro vlastní zpracování osobních údajů může však správce také zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak.

Subjekt se stává správcem buď ze zákona, nebo na základě vlastního rozhodnutí. Pokud nějaký zákon ukládá určitému subjektu zpracovávat osobní údaje, je takový subjekt správcem. V takovém případě daný zákon vymezuje také účel zpracování, případně i způsob a prostředky takového zpracování, a správce je povinen danou úpravu respektovat.

Např. zákon o nemocenském pojištění[4] ukládá zaměstnavateli vést evidenci zaměstnanců pro účely nemocenského pojištění. Zároveň upravuje obsah této evidence a povinnost uchovávat záznamy o skutečnostech vedených v této evidenci po stanovenou dobu. Každý zaměstnavatel je tedy ze zákona správcem osobních údajů zpracovávaných pro účely nemocenského pojištění, aniž by mohl své postavení nějak ovlivnit či změnit.

ZOOÚ umožňuje správci (pokud to zvláštní zákon nevylučuje) pověřit samotným zpracováním osobních údajů někoho jiného nebo k němu někoho jiného zmocnit. Tento jiný subjekt bude v postavení zpracovatele. Na rozdíl od správce zpracovatel pouze provádí zpracování osobních údajů na základě pokynů správce a v souladu se smlouvou o zpracování osobních údajů, která musí být mezi správcem a zpracovatelem zpravidla uzavřena. Častým případem využití služeb zpracovatele je svěření vedení mzdové agendy vlastních zaměstnanců jinému subjektu, který v této oblasti podniká. Vzhledem k tomu, že povinnost vést mzdovou agendu pro své zaměstnance vyplývá z právních předpisů pro zaměstnavatele, bude zaměstnavatel vždy v pozici správce a subjekt poskytující dané služby v pozici zpracovatele.

Z výše uvedeného plyne, že např. podnikatelé poskytující služby v oblasti mzdového účetnictví se pro tento účel nebudou muset u Úřadu registrovat, protože jsou pouhými zpracovateli osobních údajů a nikoli správci.

Oznámení musí obsahovat tyto informace:

a) identifikační údaje správce,

b) účel nebo účely zpracování,

c) kategorie subjektů údajů a osobních údajů, které se těchto subjektů týkají,

d) zdroje osobních údajů,

e) popis způsobu zpracování osobních údajů,

f) místo nebo místa zpracování osobních údajů,

g) příjemce nebo kategorie příjemců,

h) předpokládaná předání osobních údajů do jiných států,

i) popis opatření k zajištění ochrany osobních údajů.

Oznamovací povinnost může být splněna prostřednictvím webových stránek Úřadu, kde je umístěn i příslušný formulář. V případě registrace kamerových systémů nebo biometrických systémů (např. přístupový systém, který snímá otisky prstů) je nutné ještě vyplnit doplňující formulář s dalšími údaji.

Pokud oznámení splňuje všechny náležitosti a Úřad nezahájí správní řízení z důvodu obavy, že by při zpracování osobních údajů mohlo dojít k porušení ZOOÚ, lze po uplynutí lhůty 30 dnů od dne doručení oznámení zahájit zpracování osobních údajů. Úřad v takovém případě zapíše informace uvedené v oznámení do registru, který je veřejně přístupný na webových stránkách Úřadu. Registrace nepodléhá žádnému poplatku. O provedení registrace vydá také Úřad na žádost správce osvědčení, tak aby měl správce registraci písemně potvrzenou.

Neobsahuje-li oznámení všechny náležitosti, Úřad neprodleně zašle oznamovateli výzvu, v níž upozorní na chybějící nebo nedostatečné informace a stanoví lhůtu k doplnění oznámení. V případě, že Úřad neobdrží doplnění oznámení ve stanovené lhůtě, nahlíží na učiněné oznámení tak, jako by nebylo podáno.

Vznikne-li z oznámení důvodná obava, že by při zpracování osobních údajů mohlo dojít k porušení ZOOÚ, zahájí Úřad z vlastního podnětu řízení. Zjistí-li Úřad, že oznámeným zpracováním neporušuje správce podmínky stanovené ZOOÚ, řízení zastaví a provede zápis do registru. V případě, že oznámené zpracování nesplňuje podmínky stanovené ZOOÚ, zpracování osobních údajů Úřad nepovolí.

Z oznamovací povinnosti ZOOÚ upravuje výjimky. Oznamovací povinnost se tak nevztahuje na zpracování osobních údajů:

  • které jsou součástí datových souborů veřejně přístupných na základě zvláštního zákona (např. pokud správce využívá pouze údaje z veřejného obchodního rejstříku),
  • které správci ukládá zvláštní zákon (např. při vedení mzdové nebo personální agendy zaměstnavatele), nebo v případě, že je takových osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zvláštního zákona (např. při využití osobních údajů při soudním sporu), nebo
  • jde-li o zpracování, které sleduje politické, filozofické, náboženské nebo odborové cíle, prováděné v rámci oprávněné činnosti spolků, a které se týká pouze členů spolku nebo osob, s nimiž je spolek v opakujícím se kontaktu, a osobní údaje nejsou zpřístupňovány bez souhlasu subjektu údajů.

Např. pokud podnikatel zpracovává osobní údaje svých zaměstnanců jen pro zákonem stanovené účely, nemusí ohledně zpracování osobních údajů zaměstnanců podávat žádné oznámení Úřadu.

Na druhou stranu správce, který provádí zpracování ze zákona nebo pro uplatnění práv a povinností, je povinen zajistit, aby informace, které by byly jinak přístupné prostřednictvím registru vedeného Úřadem, byly zpřístupněny, a to i dálkovým přístupem nebo jinou vhodnou formou. To znamená, že např. každý zaměstnavatel by měl mít na svých internetových stránkách informaci o zpracování osobních údajů svých zaměstnanců ve výše uvedeném rozsahu.

V případě porušení oznamovací povinnosti hrozí podnikateli pokuta až do výše 5 milionů, ale takto vysoká pokuta nebyla doposud Úřadem nikomu uložena.

Nové povinnosti podle Nařízení

Povinnost registrovat jednotlivé účely zpracování osobních údajů u Úřadu bude ke dni 25. května 2018 zrušena. Na druhou stranu budou muset nejen správci, ale i zpracovatelé vést záznamy o činnostech zpracování v podobném rozsahu jako při dnešní registraci.

Dále v některých případech (např. rozsáhlé systematické monitorování veřejně přístupných prostorů) bude muset správce provádět posouzení vlivu zamýšleného zpracování na ochranu osobních údajů a v případě vysokého rizika konzultovat toto zpracování s Úřadem.

Nově také budou muset správci ohlašovat Úřadu jakékoli porušení zabezpečení osobních údajů (s výjimkou bezrizikových incidentů). Hlášení bezpečnostních incidentů bude nutné provést do 72 hodin od okamžiku, kdy se správce o tomto incidentu dozvěděl.

Někteří správci a zpracovatelé (např. při rozsáhlém pravidelném a systematickém monitorování subjektu údajů) budou muset jmenovat pověřence pro ochranu osobních údajů, který bude plnit úkoly stanovené Nařízením, mimo jiné bude sloužit jako kontaktní místo pro Úřad.


[1] Směrnice Evropského parlamentu a Rady č. 95/46/ES o ochraně osob se zřetelem na zpracování osobních dat a o volném pohybu takových dat

[2] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

[3] Mezi členské státy EHP patří členské státy EU a Island, Lichtenštejnsko a Norsko. Pokud Velká Británie po odchodu z EU nadále zůstane členem EHP, nebude mít tzv. brexit vliv na uplatnění Nařízení na jejím území, takže i v případě Velké Británie bude platit princip volného (legitimního) pohybu osobních údajů. 

[4] Zákon č. 187/2006 Sb., ve znění pozdějších předpisů

Hodnocení článku
100%
Pro hodnocení článku musíte být přihlášen/a

Diskuze k článku ()

Pro přidání komentáře musíte být přihlášen/a

Související články

Další články